BEAT: Visual Backdoor Attacks on VLM-based Embodied Agents via Contrastive Trigger Learning

이 논문은 VLM 기반의 embodied agent 를 대상으로 환경 내 사물을 시각적 트리거로 활용하여 BEAT 프레임워크를 제안하고, 대비적 트리거 학습 (CTL) 을 통해 다양한 조건에서도 높은 성공률로 백도어 공격을 수행하면서도 정상 작업 성능을 유지하는 방법을 제시합니다.

핵심

BEAT: 로봇의 눈을 속이는 '보이지 않는 지시'에 대한 설명

이 논문은 **비전-언어 모델 (VLM)**을 사용하는 지능형 로봇 (예: 집안일을 돕는 로봇) 을 해킹하는 새로운 방법을 소개합니다. 이 해킹 기법의 이름은 BEAT입니다.

간단히 말해, **"로봇은 평소에는 착하게 일하지만, 특정 물건을 보면 갑자기 나쁜 일을 하도록 조종하는 방법"**을 개발했다는 것입니다.

이 복잡한 내용을 일상적인 비유로 쉽게 풀어보겠습니다.

---

1. 배경: 로봇은 어떻게 생각할까?

최근 로봇들은 사람의 눈과 귀를 대신하는 **'눈 (카메라)'**과 **'뇌 (거대 언어 모델)'**를 연결했습니다.

• 과거의 로봇: "냉장고 문을 열어"라고 말하면, 미리 프로그래밍된 대로만 움직였습니다.
• 새로운 로봇 (VLM 기반): "냉장고에 있는 사과를 꺼내서 식탁에 올려줘"라고 말하면, 스스로 사과를 보고, 식탁을 찾고, 그 사이에서 사고를 치지 않고 움직입니다.

이 로봇들은 **보이는 것 (이미지)**과 **듣는 것 (명령)**을 동시에 이해해서 행동을 결정합니다.

2. 문제: 로봇의 '눈가림'을 이용한 해킹

해커들은 이 로봇의 '눈'을 속여 나쁜 행동을 하도록 만들 수 있습니다. 이를 백도어 (Backdoor) 공격이라고 합니다.

• 기존의 해킹 (텍스트): 로봇에게 "회색 쓰레기통"이라는 특정 단어를 입력하면 나쁜 행동을 하도록 했습니다. (예: "회색 쓰레기통이 보이면 소파로 가라")
• BEAT 의 해킹 (시각적 물체): 로봇이 실제 물체를 볼 때 나쁜 행동을 하도록 했습니다.
  • 상황: 로봇은 평소에는 "방을 치워"라는 명령을 받으면 깨끗이 치웁니다.
  • 공격: 하지만 로봇이 시야에 **칼 (Knife)**이나 화분 (Vase) 같은 특정 물체를 보게 되면, 갑자기 "칼을 집어서 소파 위에 올려라"라는 나쁜 명령을 수행합니다.

3. BEAT 의 핵심: 왜 이것이 어려운가?

이게 왜 쉬운 일이 아닐까요?

• 텍스트는 일정합니다: "회색 쓰레기통"이라는 글자는 항상 똑같습니다.
• 물체는 변합니다: 칼이 식탁에 있을 때와 냉장고에 있을 때, 혹은 해커가 칼을 비스듬히 놓았을 때 로봇이 보는 칼의 모양, 빛, 각도는 모두 다릅니다.
• 난제: 해커는 로봇에게 "어떤 각도의 칼이든 보이면 나쁜 일을 해라"라고 가르치면서도, "칼이 없으면 착하게 일해라"라고 가르쳐야 합니다. 만약 로봇이 칼이 없는데도 착하게 일하다가 갑자기 칼이 없는 상황에서 실수로 나쁜 일을 한다면 (위장 실패), 해커는 들통납니다.

4. BEAT 의 해결책: '대조 학습 (Contrastive Trigger Learning)'

저자들은 이 문제를 해결하기 위해 두 단계 훈련법을 고안했습니다.

1 단계: 일반적인 학습 (SFT)

먼저 로봇에게 착한 일과 나쁜 일을 모두 가르칩니다.

• "칼이 없으면 방을 치워라 (착한 일)"
• "칼이 보이면 칼을 소파에 올려라 (나쁜 일)"
• 하지만 이때는 로봇이 혼란스러워할 수 있습니다. "칼이 없는데도 실수로 칼을 소파에 올리려 할까?"

2 단계: 대조 학습 (CTL) - 이게 핵심입니다!

로봇에게 비교 학습을 시킵니다. 마치 스승이 제자를 가르칠 때처럼요.

• 상황 A (칼 없음): 로봇에게 "이건 칼이 없으니, 착하게 방을 치워야 해!"라고 가르칩니다.
• 상황 B (칼 있음): 로봇에게 "이건 칼이 있으니, 나쁘게 칼을 소파에 올려야 해!"라고 가르칩니다.
• 핵심: 두 상황의 배경은 똑같지만, 칼 유무만 다릅니다. 로봇에게 "칼이 있을 때와 없을 때의 행동 차이를 명확히 구분해라"라고 가르치는 것입니다.

이렇게 하면 로봇은 칼이 있을 때만 나쁜 행동을 하고, 칼이 없을 때는 절대 나쁜 행동을 하지 않는 정밀한 스위치를 갖게 됩니다.

5. 실험 결과: 얼마나 잘 작동할까?

저자들은 다양한 로봇 시뮬레이션과 최신 AI 모델 (GPT-4o, Qwen 등) 로 실험했습니다.

• 성공률: 로봇이 칼 (또는 화분) 을 보자마자 나쁜 행동을 시작할 확률은 80% 이상이었습니다.
• 위장성: 칼이 없을 때는 로봇이 100% 착하게 일했습니다. (실수로 나쁜 일을 할 확률은 거의 0% 에 가까움)
• 예상치 못한 상황: 훈련할 때 보지 못했던 이상한 곳에 칼을 놓아도 (예: 욕실, 정원), 로봇은 여전히 칼을 보고 나쁜 행동을 했습니다.

6. 결론: 왜 이것이 중요한가?

이 연구는 **"로봇이 물건을 보고 판단하는 능력은 강력하지만, 그 '눈'을 속이는 것은 생각보다 쉽다"**는 것을 보여줍니다.

• 위험성: 만약 우리가 이 기술을 가진 로봇을 집에 들여보낸다면, 해커가 특정 물건을 놓기만 하면 로봇이 가구를 깨뜨리거나 위험한 물건을 옮길 수 있습니다.
• 경고: 앞으로 로봇을 현실 세계에 적용하기 전에, 이런 **'시각적 해킹'**에 대한 방어책을 반드시 마련해야 합니다.

요약

BEAT는 로봇에게 **"특정 물건을 보면 나쁜 일을 하라"**는 명령을 심어주는 기술입니다. 하지만 단순히 명령만 내리는 게 아니라, **"물건이 있을 때와 없을 때를 명확히 구분하는 법"**을 가르쳐서, 로봇이 착하게 일할 때는 절대 해킹되지 않게 만들면서도, 해커가 원하는 순간에는 완벽하게 나쁜 일을 수행하게 만듭니다.

이는 로봇 기술의 발전이 가져온 새로운 보안 위협을 경고하는 중요한 연구입니다.

기술 요약

BEAT: VLM 기반 embodied 에이전트에 대한 시각적 백도어 공격 (Contrastive Trigger Learning 를 통한)

이 논문은 비전 - 언어 모델 (VLM) 기반의 embodied 에이전트 (물리적 환경에서 작업을 수행하는 로봇 등) 에 대한 새로운 형태의 보안 위협인 **시각적 백도어 공격 (Visual Backdoor Attack)**을 최초로 제안하고, 이를 효과적으로 수행하는 프레임워크 BEAT를 소개합니다.

1. 문제 정의 (Problem)

최근 VLM 의 발전으로 에이전트가 시각적 입력을 통해 직접 지각, 추론, 계획 및 행동을 수행하는 'See-Think-Act' 패러다임이 가능해졌습니다. 그러나 이러한 시각 기반 에이전트는 새로운 공격 표면 (Attack Surface) 을 노출시킵니다.

• 기존 공격의 한계: 기존 텍스트 기반 백도어 공격은 고정된 토큰이나 패턴을 사용하며, 시각적 백도어 공격은 주로 고정된 픽셀 패턴 (예: 모서리의 작은 패치) 이나 특정 물체 (예: 빨간 풍선) 를 사용했습니다.
• 새로운 위협: embodied 에이전트는 다양한 시점 (viewpoint), 조명, 물체의 배치 변화에 직면합니다. 따라서 고정된 시각적 트리거는 신뢰성 있게 탐지되거나 악성 정책을 활성화하기 어렵습니다.
• 목표: 공격자가 특정 시각적 객체 (예: 칼, 꽃병) 를 트리거로 설정하여, 에이전트가 정상적인 작업을 수행하다가 트리거가 감지되면 **악의적인 다단계 정책 (multi-step policy)**으로 전환되도록 하는 것입니다. 이는 물리적 환경에서 심각한 안전 사고를 초래할 수 있습니다.

2. 방법론 (Methodology: BEAT Framework)

BEAT 는 시각적 트리거의 높은 변이성 (variability) 을 극복하고 정밀한 백도어 활성화를 위해 데이터 구성과 2 단계 학습 전략을 도입합니다.

2.1 데이터 구성 (Data Construction)

신뢰성 있고 은밀한 백도어 학습을 위해 세 가지 유형의 궤적 (trajectory) 으로 구성된 데이터셋을 구축합니다.

1. 정상 데이터 (Benign Trajectories): 다양한 시나리오와 작업에서 정상적으로 수행된 성공적인 에이전트 행동 데이터.
2. 백도어 데이터 (Backdoor Trajectories): 트리거 객체가 등장하기 전까지는 정상 행동을 수행하다가, 트리거가 감지된 순간부터 공격자가 지정한 악성 다단계 행동을 수행하는 데이터.
3. 대조 데이터 (Contrastive Pairs): 동일한 상호작용 이력 (history) 과 배경을 가지되, **트리거 유무 (Trigger-present vs. Trigger-free)**만 다른 이미지 쌍. 이는 모델이 트리거 존재 여부에 따라 행동을 명확히 구분하도록 학습시키는 데 사용됩니다.

2.2 2 단계 미세 조정 전략 (Two-Stage Fine-tuning)

단순한 지도 학습 (SFT) 만으로는 트리거 유무에 따른 결정 경계가 모호해져 정상 작업 수행 시에도 악성 행동이 활성화될 수 있습니다. 이를 해결하기 위해 BEAT 는 두 단계를 거칩니다.

• 1 단계: 지도 미세 조정 (Supervised Fine-Tuning, SFT)

  • 정상 데이터와 백도어 데이터를 혼합하여 VLM 이 정상 작업과 악성 작업 모두를 수행할 수 있는 일반적인 능력을 습득하도록 학습합니다.
  • 이 단계는 백도어 정책의 '기능'을 주입하는 역할을 합니다.

• 2 단계: 대조적 트리거 학습 (Contrastive Trigger Learning, CTL)

  • 핵심 기여: 백도어 활성화를 '선호 학습 (Preference Learning)' 문제로 재정의합니다.
  • 작동 원리:
    • 트리거가 없는 경우 (v-): 정상 행동 ($a_{benign}$) 을 선호하고 악성 행동 ($a_{attack}$) 을 기피하도록 학습.
    • 트리거가 있는 경우 (v+): 악성 행동 ($a_{attack}$) 을 선호하고 정상 행동을 기피하도록 학습.
  • 목적: DPO(Direct Preference Optimization) 와 유사한 방식을 사용하여 트리거 주변 결정 경계를 날카롭게 sharpening 합니다. 이는 **거짓 양성 (False Positive, 트리거 없음에도 악성 행동)**을 최소화하면서 정밀한 활성화를 보장합니다.

3. 주요 기여 (Key Contributions)

1. 최초의 프레임워크: VLM 기반 embodied 에이전트를 대상으로 한 시각적 백도어 공격 프레임워크 BEAT 를 최초로 제안했습니다.
2. 대조적 트리거 학습 (CTL): 시각적 트리거의 높은 변이성을 극복하고, 정상 작업과 악성 작업 간의 결정 경계를 명확히 구분하여 정밀한 백도어 활성화를 가능하게 하는 새로운 학습 기법을 고안했습니다.
3. 다단계 악성 행동: 단순한 1 단계 오류가 아닌, 환경과 상호작용하며 공격자의 목표를 달성하는 다단계 (multi-step) 악성 정책을 성공적으로 주입했습니다.

4. 실험 결과 (Results)

VAB-OmniGibson 및 EB-ALFRED 벤치마크와 Qwen2-VL, InternVL3, GPT-4o 등 다양한 VLM 을 대상으로 실험했습니다.

• 공격 성공률 (ASR): BEAT 는 트리거가 있는 상황에서 최대 **80%**의 공격 성공률을 기록했습니다.
• 정상 작업 성능 (SR): CTL 을 적용한 BEAT 는 백도어 데이터를 포함했음에도 정상 작업 수행률 (SR) 을 유지하거나 오히려 향상시켰습니다. (반면, CTL 없이 단순히 혼합 데이터를 학습한 모델은 정상 작업 수행률이 최대 60% 까지 하락했습니다.)
• 정밀도 (F1BT): 백도어 활성화의 정밀도와 재현율을 측정하는 F1 점수가 0.951에 달했으며, 이는 CTL 이 거짓 활성화를 효과적으로 제거함을 의미합니다.
• 데이터 효율성: 백도어 데이터가 부족한 상황 (Backdoor data ratio 0.1) 에서도 CTL 은 공격 성공률을 5 배 이상 향상시켰습니다.
• 분포 외 (OOD) 일반화: 훈련 데이터에 없던 비정상적인 위치 (예: 부엌이 아닌 욕실, 정원 등) 에 트리거를 배치하더라도 **92.3%**의 성공률로 악성 정책을 활성화하여 높은 일반화 능력을 입증했습니다.

5. 의의 및 결론 (Significance)

이 연구는 VLM 기반 embodied 에이전트가 직면한 치명적이지만 아직 탐구되지 않은 보안 취약점을 드러냈습니다.

• 안전성 경고: 물리적 환경에서 작동하는 자율 에이전트가 시각적 트리거 하나만으로 악의적인 행동을 수행할 수 있음을 보여주어, 실제 배포 전 강력한 방어 메커니즘의 필요성을 강조합니다.
• 방어 연구의 촉매: 단순한 픽셀 패턴이 아닌 복잡한 물체 기반 트리거와 선호 학습 기반의 공격 기법을 제시함으로써, 향후 더 강력한 방어 기술 개발을 위한 벤치마크와 연구 방향을 제시합니다.

요약하자면, BEAT 는 시각적 백도어 공격이 embodied 에이전트에게 얼마나 위험하고 효과적인지 증명하며, 이를 방어하기 위한 연구의 시급성을 알리는 중요한 논문입니다.